Recoger registros JSON de colaboración de Box

Disponible en:

En este documento se explica cómo ingerir registros JSON de colaboración de Box en Google Security Operations mediante AWS S3 con la programación de Lambda y EventBridge. El analizador procesa los registros de eventos de Box en formato JSON y los asigna a un modelo de datos unificado (UDM). Extrae los campos relevantes de los registros sin procesar, realiza transformaciones de datos, como cambiar el nombre y combinar datos, y enriquece los datos con información intermedia antes de generar los datos de eventos estructurados.

Antes de empezar

  • Instancia de Google SecOps
  • Acceso con privilegios a Box (consola de administración y de desarrollador)
  • Acceso privilegiado a AWS (S3, IAM, Lambda y EventBridge) en la misma región en la que tienes previsto almacenar los registros

Configurar la consola para desarrolladores de Box (credenciales de cliente)

  1. Inicia sesión en Box Developer Console.
  2. Cree una aplicación personalizada con autenticación de servidor (concesión de credenciales de cliente).
  3. Define Application Access (Acceso a la aplicación) como App + Enterprise Access (Acceso de aplicaciones y empresas).
  4. En Application Scopes (Permisos de aplicación), habilita Manage enterprise properties (Gestionar propiedades de empresa).
  5. En Consola de administración > Aplicaciones > Gestor de aplicaciones personalizadas, autoriza la aplicación con el ID de cliente.
  6. Copia y guarda el ID de cliente y el secreto de cliente en un lugar seguro.
  7. Ve a Consola de administración > Cuenta y facturación > Información de la cuenta.
  8. Copia y guarda el ID de empresa en un lugar seguro.

Configurar un segmento de AWS S3 y IAM para Google SecOps

  1. Crea un segmento de Amazon S3 siguiendo esta guía de usuario: Crear un segmento.
  2. Guarda el nombre y la región del segmento para consultarlos más adelante (por ejemplo, box-collaboration-logs).
  3. Crea un usuario siguiendo esta guía: Crear un usuario de gestión de identidades y accesos.
  4. Selecciona el Usuario creado.
  5. Selecciona la pestaña Credenciales de seguridad.
  6. En la sección Claves de acceso, haz clic en Crear clave de acceso.
  7. Selecciona Servicio de terceros como Caso práctico.
  8. Haz clic en Siguiente.
  9. Opcional: añade una etiqueta de descripción.
  10. Haz clic en Crear clave de acceso.
  11. Haz clic en Descargar archivo CSV para guardar la clave de acceso y la clave de acceso secreta para usarlas más adelante.
  12. Haz clic en Listo.
  13. Selecciona la pestaña Permisos.
  14. En la sección Políticas de permisos, haz clic en Añadir permisos.
  15. Selecciona Añadir permisos.
  16. Seleccione Adjuntar políticas directamente.
  17. Busca y selecciona la política AmazonS3FullAccess.
  18. Haz clic en Siguiente.
  19. Haz clic en Añadir permisos.

Configurar la política y el rol de gestión de identidades y accesos para las subidas de S3

  1. En la consola de AWS, ve a IAM > Policies > Create policy > pestaña JSON.

  2. Introduce la siguiente política:

    {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowPutBoxObjects",
      "Effect": "Allow",
      "Action": ["s3:PutObject"],
      "Resource": "arn:aws:s3:::box-collaboration-logs/*"
    },
    {
      "Sid": "AllowGetStateObject",
      "Effect": "Allow",
      "Action": ["s3:GetObject"],
      "Resource": "arn:aws:s3:::box-collaboration-logs/box/collaboration/state.json"
    }
  ]
}
    • Sustituye box-collaboration-logs si has introducido otro nombre de segmento.

  3. Haz clic en Siguiente > Crear política.

  4. Ve a IAM > Roles > Crear rol > Servicio de AWS > Lambda.

  5. Adjunte la política que acaba de crear.

  6. Dale el nombre WriteBoxToS3Role al rol y haz clic en Crear rol.

Crear la función Lambda

  1. En la consola de AWS, ve a Lambda > Funciones > Crear función.
  2. Haz clic en Crear desde cero.

  3. Proporciona los siguientes detalles de configuración:

    Ajuste Valor
    Nombre box_collaboration_to_s3
    Tiempo de ejecución Python 3.13
    Arquitectura x86_64
    Rol de ejecución WriteBoxToS3Role

  4. Una vez creada la función, abra la pestaña Código, elimine el stub e introduzca el siguiente código (box_collaboration_to_s3.py):

    #!/usr/bin/env python3
# Lambda: Pull Box Enterprise Events to S3 (no transform)

import os, json, time, urllib.parse
from urllib.request import Request, urlopen
from urllib.error import HTTPError, URLError
import boto3

TOKEN_URL = "https://api.box.com/oauth2/token"
EVENTS_URL = "https://api.box.com/2.0/events"

CID         = os.environ["BOX_CLIENT_ID"]
CSECRET     = os.environ["BOX_CLIENT_SECRET"]
ENT_ID      = os.environ["BOX_ENTERPRISE_ID"]
STREAM_TYPE = os.environ.get("STREAM_TYPE", "admin_logs_streaming")
LIMIT       = int(os.environ.get("LIMIT", "500"))
BUCKET      = os.environ["S3_BUCKET"]
PREFIX      = os.environ.get("S3_PREFIX", "box/collaboration/")
STATE_KEY   = os.environ.get("STATE_KEY", "box/collaboration/state.json")

s3 = boto3.client("s3")

def get_state():
    try:
        obj = s3.get_object(Bucket=BUCKET, Key=STATE_KEY)
        data = json.loads(obj["Body"].read())
        return data.get("stream_position")
    except Exception:
        return None

def put_state(pos):
    body = json.dumps({"stream_position": pos}, separators=(",", ":")).encode("utf-8")
    s3.put_object(Bucket=BUCKET, Key=STATE_KEY, Body=body, ContentType="application/json")

def get_token():
    body = urllib.parse.urlencode({
        "grant_type": "client_credentials",
        "client_id": CID,
        "client_secret": CSECRET,
        "box_subject_type": "enterprise",
        "box_subject_id": ENT_ID,
    }).encode()
    req = Request(TOKEN_URL, data=body, method="POST")
    req.add_header("Content-Type", "application/x-www-form-urlencoded")
    with urlopen(req, timeout=30) as r:
        tok = json.loads(r.read().decode())
    return tok["access_token"]

def fetch_events(token, stream_position=None, timeout=60, max_retries=5):
    params = {"stream_type": STREAM_TYPE, "limit": LIMIT, "stream_position": stream_position or "now"}
    qs = urllib.parse.urlencode(params)
    attempt, backoff = 0, 1.0
    while True:
        try:
            req = Request(f"{EVENTS_URL}?{qs}", method="GET")
            req.add_header("Authorization", f"Bearer {token}")
            with urlopen(req, timeout=timeout) as r:
                return json.loads(r.read().decode())
        except HTTPError as e:
            if e.code == 429 and attempt < max_retries:
                ra = e.headers.get("Retry-After")
                delay = int(ra) if (ra and ra.isdigit()) else int(backoff)
                time.sleep(max(1, delay)); attempt += 1; backoff *= 2; continue
            if 500 <= e.code <= 599 and attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise
        except URLError:
            if attempt < max_retries:
                time.sleep(backoff); attempt += 1; backoff *= 2; continue
            raise

def write_chunk(data):
    ts = time.strftime("%Y/%m/%d/%H%M%S", time.gmtime())
    key = f"{PREFIX}/{ts}-box-events.json"  
    s3.put_object(Bucket=BUCKET, Key=key,
                  Body=json.dumps(data, separators=(",", ":")).encode("utf-8"),
                  ContentType="application/json")  
    return key

def lambda_handler(event=None, context=None):
    token = get_token()
    pos = get_state()
    total, idx = 0, 0
    while True:
        page = fetch_events(token, pos)
        entries = page.get("entries") or []
        if not entries:
            next_pos = page.get("next_stream_position") or pos
            if next_pos and next_pos != pos:
                put_state(next_pos)
            break

        # уникальный ключ
        ts = time.strftime("%Y/%m/%d/%H%M%S", time.gmtime())
        key = f"{PREFIX}/{ts}-box-events-{idx:03d}.json"
        s3.put_object(Bucket=BUCKET, Key=key,
                      Body=json.dumps(page, separators=(",", ":")).encode("utf-8"),
                      ContentType="application/json")
        idx += 1
        total += len(entries)

        pos = page.get("next_stream_position") or pos
        if pos:
            put_state(pos)

        if len(entries) < LIMIT:
            break

    return {"ok": True, "written": total, "next_stream_position": pos}

  5. Ve a Configuración > Variables de entorno > Editar > Añadir nueva variable de entorno.

  6. Introduce las siguientes variables de entorno y sustituye los valores por los tuyos:

    Clave Ejemplo
    S3_BUCKET box-collaboration-logs
    S3_PREFIX box/collaboration/
    STATE_KEY box/collaboration/state.json
    BOX_CLIENT_ID Introduce el ID de cliente de Box
    BOX_CLIENT_SECRET Introduce el secreto de cliente de Box
    BOX_ENTERPRISE_ID Introduce el ID de Box Enterprise
    STREAM_TYPE admin_logs_streaming
    LIMIT 500

  7. Una vez creada la función, permanece en su página (o abre Lambda > Funciones > tu-función).

  8. Seleccione la pestaña Configuración.

  9. En el panel Configuración general, haz clic en Editar.

  10. Cambia Tiempo de espera a 10 minutos (600 segundos) y haz clic en Guardar.

Programar la función Lambda (EventBridge Scheduler)

  1. Ve a Amazon EventBridge > Scheduler > Create schedule (Amazon EventBridge > Programador > Crear programación).
  2. Proporcione los siguientes detalles de configuración:
    • Programación periódica: Precio (15 min).
    • Destino: tu función Lambda.
    • Nombre: box-collaboration-schedule-15min.
  3. Haz clic en Crear programación.

Configurar un feed en Google SecOps para ingerir registros de Box

  1. Ve a Configuración de SIEM > Feeds.
  2. Haz clic en Añadir feed.
  3. En el campo Nombre del feed, introduce un nombre para el feed (por ejemplo, Box Collaboration).
  4. Selecciona Amazon S3 V2 como Tipo de fuente.
  5. Selecciona Box como Tipo de registro.
  6. Haz clic en Siguiente.
  7. Especifique los valores de los siguientes parámetros de entrada:
    • URI de S3: el URI del contenedor (el formato debe ser s3://box-collaboration-logs/box/collaboration/). Sustituye box-collaboration-logs por el nombre real del contenedor.
    • Opciones de eliminación de la fuente: selecciona la opción de eliminación que prefieras.
    • Antigüedad máxima del archivo: incluye los archivos modificados en los últimos días. El valor predeterminado es 180 días.
    • ID de clave de acceso: clave de acceso de usuario con acceso al bucket de S3.
    • Clave de acceso secreta: clave secreta del usuario con acceso al bucket de S3.
    • Espacio de nombres de recursos: el espacio de nombres de recursos.
    • Etiquetas de ingestión: etiqueta que se aplicará a los eventos de este feed.
  8. Haz clic en Siguiente.
  9. Revise la configuración de la nueva fuente en la pantalla Finalizar y, a continuación, haga clic en Enviar.

Tabla de asignación de UDM

Campo de registro Asignación de UDM Lógica
additional_details.ekm_id additional.fields Valor tomado de additional_details.ekm_id
additional_details.service_id additional.fields Valor tomado de additional_details.service_id
additional_details.service_name additional.fields Valor tomado de additional_details.service_name
additional_details.shared_link_id additional.fields Valor tomado de additional_details.shared_link_id
additional_details.size target.file.size Valor tomado de additional_details.size
additional_details.version_id additional.fields Valor tomado de additional_details.version_id
created_at metadata.event_timestamp Valor tomado de created_at
created_by.id principal.user.userid Valor tomado de created_by.id
created_by.login principal.user.email_addresses Valor tomado de created_by.login
created_by.name principal.user.user_display_name Valor tomado de created_by.name
event_id metadata.product_log_id Valor tomado de event_id
event_type metadata.product_event_type Valor tomado de event_type
ip_address principal.ip Valor tomado de ip_address
source.item_id target.file.product_object_id Valor tomado de source.item_id
source.item_name target.file.full_path Valor tomado de source.item_name
source.item_type Sin asignar
source.login target.user.email_addresses Valor tomado de source.login.
source.name target.user.user_display_name Valor tomado de source.name
source.owned_by.id target.user.userid Valor tomado de source.owned_by.id
source.owned_by.login target.user.email_addresses Valor tomado de source.owned_by.login
source.owned_by.name target.user.user_display_name Valor tomado de source.owned_by.name
source.parent.id Sin asignar
source.parent.name Sin asignar
source.parent.type Sin asignar
source.type Sin asignar
tipo metadata.log_type Valor tomado del tipo
metadata.vendor_name Valor codificado
metadata.product_name Valor codificado
security_result.action Derivado de event_type. Si event_type es FAILED_LOGIN, se devuelve BLOCK. Si event_type es USER_LOGIN, se devuelve ALLOW. En caso contrario, se devuelve UNSPECIFIED.
extensions.auth.type Derivado de event_type. Si event_type es USER_LOGIN o ADMIN_LOGIN, se devuelve MACHINE. En caso contrario, se devuelve UNSPECIFIED.
extensions.auth.mechanism Derivado de event_type. Si event_type es USER_LOGIN o ADMIN_LOGIN, se devuelve USERNAME_PASSWORD. En caso contrario, se devuelve UNSPECIFIED.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.